Jitter-Trap adı verilen çığır açan bir tespit tekniği Varonis tehdit laboratuvarları tarafından tanıtıldı ve kuruluşların siber saldırı yaşam döngüsünde en zor aşamalardan birini nasıl tanımladığını gösterme vaat etti: Sıkıştırma ve Komuta ve Kontrol (C2) iletişim.
Bu yöntem, tehdit aktörlerinin tespitten kaçınmak için kullandıkları rastgelelikten yararlanır ve klasik bir kaçaklama taktiği güçlü bir algılama aracına dönüştürür1.
Beacon Communications’ı tespit etmenin zorluğu
.png
)
Modern siber saldırılar genellikle işaretlemeye güvenir – tehlikeye atılan uç noktalar ve uzak C2 sunucuları arasındaki dönemsel, otomatik iletişim.
Bu işaretler hem devlet destekli hem de cezai tehdit aktörleri tarafından kullanılır ve uzun süreler boyunca sıklıkla tespit edilmez.
Saldırganlar, kobalt grevi, şeridi, imparatorluk, mit ve tahribat gibi ileri sürgün sonrası çerçeveler kullanırlar.
Başlangıçta meşru kırmızı ekip ve penetrasyon testi için tasarlanmış olsa da, bu çerçeveler artık erişimi sürdürmek, komutları yürütmek, yanal olarak hareket etmek ve verileri pes etmek için rutin olarak istismar edilmektedir – hepsi geleneksel güvenlik kontrollerinden kaçınır.
Bu çerçevelerin temel özellikleri şunları içerir:
- Modüler mimarlık: Ek yükler, komut dosyaları veya modülleri dinamik olarak yükleyin.
- C2 İletişim: Gizli veri eksfiltrasyonu ve komut yürütme için çeşitli protokolleri (HTTP/S, DNS, SMB, TCP, WebSockets) kullanın.
- Kaçınma Teknikleri: Güvenlik duvarlarını, EDR ve SIEM sistemlerini atlamak için gizleme, şifreleme ve trafik şekillendirme kullanın.
- Kalıcılık ve yanal hareket: Ayrıcalık yükseltme, kimlik bilgisi çöplük ve uzun vadeli erişim için destek.
- Dövülebilir C2 profilleri: Microsoft güncellemeleri veya GitHub istekleri gibi meşru hizmetleri taklit eden özelleştirilebilir ağ trafiği.
Beacon Tespiti: Geleneksel ve gelişen yöntemler
Geleneksel algılama stratejileri arasında uzlaşma göstergeleri (IOCS), dosya ve kayıt defteri değişiklikleri, PowerShell etkinliği, kum havuzu, statik ve dinamik analiz ve işaret desenleri için ağ analizi sayılabilir.
Bununla birlikte, saldırganlar, bilinmeyen IOC’lu yeni örnekleri kullanarak, YARA kurallarını gizlemeyle atlayarak ve EDR tespitinden kaçınmak için süreç enjeksiyonu ve yönetilmeyen PowerShell’den yararlanarak sürekli olarak gelişir.
Davranışsal Tespit: Uyku, Jitter ve Trafik Analizi
Jitter-tuzağının temel odağı, özellikle HTTP/S tabanlı işaretler için davranışsal ve ağ analizidir. İki kritik parametre:
- Uyumak: Bir Beacon sabit aralık, bir sonraki komutu kontrol etmeden önce bekler.
- Titreşim: Rasgelelik uyku aralığına eklendi, işaret iletişimini daha az öngörülebilir ve tespit edilmesi daha zor hale getirdi.
İyi huylu uygulamalar (örneğin, sosyal medya, gerçek zamanlı işbirliği araçları) da sabit aralıklarla yoklama kullanırken, kötü niyetli işaretler genellikle desenleri gizlemek için titreştirir.
Jitter-Trap, talepler arasındaki zaman farklılıklarının dağılımını analiz ederek bunu kullanır.
Jitterlı Beacons tipik olarak iyi huylu trafikte nadiren tek tip bir aralık dağılımı üretir.
Bu tekdüzeliği doğrulamak için Kolmogorov-Smirnov ve Chi-kare gibi istatistiksel testler kullanılır.
Zamanlamanın Ötesinde: Veri Jitter ve URL rastgelelik
Saldırganlar ayrıca veri titreşimini yapılandırabilir, null veri uzunluklarını taleplere ekleyebilir ve bu da indirme boyutlarının tek tip bir dağılımına neden olabilir.
Benzer şekilde, POSHC2 ve Sliver gibi çerçeveler, her istek için yarı rastgele URL’ler üreterek meşru trafikle karışmayı amaçlıyor.
Bununla birlikte, bu aşırı rastgelelik – farklı URL’lerin toplam taleplere yüksek oranı gibi – kendisi kırmızı bir bayrak olabilir, çünkü benign trafik nadiren bu kadar yüksek değişkenlik sergiler.
Jitter-Trap, Beacon trafiğini gizli hale getirmek için tasarlanan özelliklerin-çekiş, veri rastgelelik ve URL değişkenliği-kötü niyetli iletişimleri parmak izlemek ve tespit etmek için kullanılabilir.
Dağıtım analizine odaklanarak ve davranışsal imzaları tanıyarak, güvenlik uzmanları, gelişmiş tehditlerden bir adım önde kalarak en gizemli işaretleri bile ortaya çıkarma yeteneklerini önemli ölçüde artırabilirler.
Saldırganlar yenilik yapmaya devam ettikçe, savunucular gelişmiş davranışsal analizleri kucaklayarak ve sofistike C2 çerçevelerinin bıraktığı ince parmak izlerinden yararlanmalıdır.
Jitter-Trap, modern siber saldırılarda sömürme sonrası faaliyetleri tespit etmek ve bozmak için devam eden savaşta önemli bir ilerlemeyi işaret ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin